Hướng dẫn kiểm tra Log Remote Desktop trên Windows | Huong dan kiem tra Log Remote Desktop tren Windows - Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

26-11-2021, 02:34 PM

Hướng dẫn kiểm tra Log Remote Desktop trên Windows

Có nhiều lúc chúng ta muốn thống kê các sự kiện đăng nhập sai, đúng. Hay đơn giản chỉ muốn kiểm tra các máy tính Remote Desktop vào máy chủ, lúc này chúng ta cần sử dụng đến công cụ Event Viewer của Windows.

Các Sự kiện trên Linux được ghi lại vào File log, còn đối với windows sẽ được ghi vào Event Viewer theo các Name cụ thể ứng với từng loại log. Trong bài viết này chúng ta sẽ cùng tìm hiểu chi tiết về Event Viewer và cách sử dụng trong từng trường hợp
Các Sự kiện trên Linux được ghi lại vào File log, còn đối với windows sẽ được ghi vào Event View theo các Name cụ thể ứng với từng log.

Các trường hợp khi Remote Desktop tới máy chủ Windows có thể sảy ra như sau:

Khi Remote Desktop đúng User đúng Password
Khi Remote Đúng User sai Password
Khi Remote sai User
Remote sai User hoặc Password

Để xem được các bản ghi về Remote Desktop trên Windows thì ta cần sử dụng công cụ Event View của Windows
Để mở Event viewer ta làm như sau:

Bấm tổ hợp phím Windows+R sau đó nhập eventvwr

TH1: Remote Desktop đúng User đúng Password (đăng nhập thành công)

Để xem IP đã Remote Desktop ta xem Event ID: 4648
Để xem các thông tin liên quan khác xem Event ID: 4624
Để kiểm tra IP đã Remote Desktop tới máy Chủ Windows Server ta làm như sau:
Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái
Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.

Trong hộp thoại tiếp theo, nhập dòng 4648 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…”

Nhấn OK để lọc nhật ký sự kiện ( Event log )
Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện có Event ID 4648
Click đúp chuột 2 lần vào Event ID muốn xem để xem chi tiết về Event ID đó, kéo phần mô tả xuống một chút sẽ thấy phần như sau:
Network Information:
Network Address: x.x.x.x
Port: 0

Trong đó Network Address là địa chỉ IP của máy tính thực hiện Remote Destop tới máy chủ Windows Server
Để kiểm tra thêm các thông tin khác ta làm như sau:
Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái
Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.

Trong hộp thoại tiếp theo, nhập dòng 4624 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…”

Nhấn OK để lọc nhật ký sự kiện ( Event log )
Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop đúng

tại đây ta có thể thấy được những thông tin sau:

Event ID: 4624
Log Name: Security
phần bản tin: An account was successfully logged on.
logged: 12/24/2019 4:35:34 PM
level: Infomation
Computer: Tên máy tính được đăng nhập

Trong đó:

Event ID: là ID sự kiện
Log Name: Tên bản tin log
phần bản tin: là bản tin log
logged: thời gian xuất hiện sự kiện
level: mức độ cảnh báo
Computer: Tên máy tính được đăng nhập

Trên đây là cách tìm nhật ký Remote đúng trong Windows, chúng ta sẽ sang phần tiếp theo, Remote Sai Password
TH 2: Remote Desktop sai User hoặc Password (hoặc sai cả hai)

Để xem IP đã Remote Desktop thất bại ta xem Event ID: 140
Để xem các thông tin liên quan khác xem Event ID: 4625
Để kiểm tra IP đã Remote Desktop thất bại tới máy Chủ Windows Server ta làm như sau:
Trong Event Viewer chọn Applications and Services Logs > Microsoft > Windows > RemoteDesktopServices-RdpCoreTS > Operational ở cửa sổ bên trái
Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.

Trong hộp thoại tiếp theo, nhập dòng 140 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…”

Nhấn OK để lọc nhật ký sự kiện ( Event log )
Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop thất bại.

tại đây ta có thể thấy được những thông tin sau:

Event ID: 140
Log Name: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
phần bản tin: A connection from the client computer with an IP address of 192.168.182.1 failed because the user name or password is not correct.
logged: 12/24/2019 5:02:36 PM
level: Warning
Computer: Tên máy tính được đăng nhập

Trong đó:

Event ID: là ID sự kiện
Log Name: Tên bản tin log
phần bản tin: Có một kết nối từ IP x kết nối tới nhưng nhập sai User hoặc mật khẩu
logged: thời gian xuất hiện sự kiện
level: mức độ cảnh báo
Computer: Tên máy tính được đăng nhập

Lưu ý: trên phần bản tin Log có ghi lại IP đã thực hiện Remote Desktop thất bại vào máy chủ, từ đây có thể trích xuất thông tin để xử lý, phần khoanh đỏ là phần IP Remote thất bại

Trên đây là cách tìm nhật ký Remote thất bại trong Windows, Remote Sai User hoặc password và cách tìm địa chỉ ip đã đăng nhập sai để tiến hành các biện pháp xử lý.
Để tìm tên User được nhập lúc Remote Desktop thất bại tới máy Chủ Windows Server ta làm như sau:
Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái
Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.

Trong hộp thoại tiếp theo, nhập dòng 4625 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…”

Nhấn OK để lọc nhật ký sự kiện ( Event log )
Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop thất bại.

Click chuột 2 lần vào EventID 4625

Sẽ thấy một cửa sổ hiện lên, trong phần mô tả có trường Account Name là tên User bị Remote tới

tại đây ta có thể thấy được những thông tin sau:

Event ID: 4625
Log Name: Security
Account Name: sdsdsdsds
phần bản tin: An account failed to log on.
logged: 12/24/2019 4:54:50 PM
level: Infomation
Computer: Tên máy tính được đăng nhập

Trong đó:

Event ID: là ID sự kiện
Log Name: Tên bản tin log
Account Name: Tên user
phần bản tin: là bản tin log
logged: thời gian xuất hiện sự kiện
level: mức độ cảnh báo
Computer: Tên máy tính được đăng nhập
Chú ý: Có thêm phần Account Name

Kết Luận
Như vậy trong bài viết này chúng ta đã cùng nhau tìm hiểu và cách thức sử dụng công cụ Event Viewer để tìm nhật ký Remote Desktop đối với những lần Remote thất bại , Remote Sai User hoặc password trong Windows, quan trọng hơn là cách tìm địa chỉ ip đã đăng nhập sai để tiến hành khoanh vùng thực hiện các biện pháp xử lý.
Qua bài viết này cloud365 hi vọng có thể giúp được các bạn phần nào đó hiểu hơn về EventID trong Windows, rất mong nhận được đóng góp của các bạn để bài viết được chất lượng hơn tại phần comment bên dưới
Chúc các bạn thành công !

26-11-2021, 02:34 PM	#1
hoctinhoc Guest Trả Lời: n/a	Hướng dẫn kiểm tra Log Remote Desktop trên Windows Hướng dẫn kiểm tra Log Remote Desktop trên Windows Có nhiều lúc chúng ta muốn thống kê các sự kiện đăng nhập sai, đúng. Hay đơn giản chỉ muốn kiểm tra các máy tính Remote Desktop vào máy chủ, lúc này chúng ta cần sử dụng đến công cụ Event Viewer của Windows. Các Sự kiện trên Linux được ghi lại vào File log, còn đối với windows sẽ được ghi vào Event Viewer theo các Name cụ thể ứng với từng loại log. Trong bài viết này chúng ta sẽ cùng tìm hiểu chi tiết về Event Viewer và cách sử dụng trong từng trường hợp Các Sự kiện trên Linux được ghi lại vào File log, còn đối với windows sẽ được ghi vào Event View theo các Name cụ thể ứng với từng log. Các trường hợp khi Remote Desktop tới máy chủ Windows có thể sảy ra như sau: Khi Remote Desktop đúng User đúng Password Khi Remote Đúng User sai Password Khi Remote sai User Remote sai User hoặc Password Để xem được các bản ghi về Remote Desktop trên Windows thì ta cần sử dụng công cụ Event View của Windows Để mở Event viewer ta làm như sau: Bấm tổ hợp phím Windows+R sau đó nhập eventvwr TH1: Remote Desktop đúng User đúng Password (đăng nhập thành công) Để xem IP đã Remote Desktop ta xem Event ID: 4648 Để xem các thông tin liên quan khác xem Event ID: 4624 Để kiểm tra IP đã Remote Desktop tới máy Chủ Windows Server ta làm như sau: Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log. Trong hộp thoại tiếp theo, nhập dòng 4648 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…” Nhấn OK để lọc nhật ký sự kiện ( Event log ) Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện có Event ID 4648 Click đúp chuột 2 lần vào Event ID muốn xem để xem chi tiết về Event ID đó, kéo phần mô tả xuống một chút sẽ thấy phần như sau: Network Information: Network Address: x.x.x.x Port: 0 Trong đó Network Address là địa chỉ IP của máy tính thực hiện Remote Destop tới máy chủ Windows Server Để kiểm tra thêm các thông tin khác ta làm như sau: Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log. Trong hộp thoại tiếp theo, nhập dòng 4624 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…” Nhấn OK để lọc nhật ký sự kiện ( Event log ) Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop đúng tại đây ta có thể thấy được những thông tin sau: Event ID: 4624 Log Name: Security phần bản tin: An account was successfully logged on. logged: 12/24/2019 4:35:34 PM level: Infomation Computer: Tên máy tính được đăng nhập Trong đó: Event ID: là ID sự kiện Log Name: Tên bản tin log phần bản tin: là bản tin log logged: thời gian xuất hiện sự kiện level: mức độ cảnh báo Computer: Tên máy tính được đăng nhập Trên đây là cách tìm nhật ký Remote đúng trong Windows, chúng ta sẽ sang phần tiếp theo, Remote Sai Password TH 2: Remote Desktop sai User hoặc Password (hoặc sai cả hai) Để xem IP đã Remote Desktop thất bại ta xem Event ID: 140 Để xem các thông tin liên quan khác xem Event ID: 4625 Để kiểm tra IP đã Remote Desktop thất bại tới máy Chủ Windows Server ta làm như sau: Trong Event Viewer chọn Applications and Services Logs > Microsoft > Windows > RemoteDesktopServices-RdpCoreTS > Operational ở cửa sổ bên trái Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log. Trong hộp thoại tiếp theo, nhập dòng 140 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…” Nhấn OK để lọc nhật ký sự kiện ( Event log ) Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop thất bại. tại đây ta có thể thấy được những thông tin sau: Event ID: 140 Log Name: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational phần bản tin: A connection from the client computer with an IP address of 192.168.182.1 failed because the user name or password is not correct. logged: 12/24/2019 5:02:36 PM level: Warning Computer: Tên máy tính được đăng nhập Trong đó: Event ID: là ID sự kiện Log Name: Tên bản tin log phần bản tin: Có một kết nối từ IP x kết nối tới nhưng nhập sai User hoặc mật khẩu logged: thời gian xuất hiện sự kiện level: mức độ cảnh báo Computer: Tên máy tính được đăng nhập Lưu ý: trên phần bản tin Log có ghi lại IP đã thực hiện Remote Desktop thất bại vào máy chủ, từ đây có thể trích xuất thông tin để xử lý, phần khoanh đỏ là phần IP Remote thất bại Trên đây là cách tìm nhật ký Remote thất bại trong Windows, Remote Sai User hoặc password và cách tìm địa chỉ ip đã đăng nhập sai để tiến hành các biện pháp xử lý. Để tìm tên User được nhập lúc Remote Desktop thất bại tới máy Chủ Windows Server ta làm như sau: Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log. Trong hộp thoại tiếp theo, nhập dòng 4625 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…” Nhấn OK để lọc nhật ký sự kiện ( Event log ) Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop thất bại. Click chuột 2 lần vào EventID 4625 Sẽ thấy một cửa sổ hiện lên, trong phần mô tả có trường Account Name là tên User bị Remote tới tại đây ta có thể thấy được những thông tin sau: Event ID: 4625 Log Name: Security Account Name: sdsdsdsds phần bản tin: An account failed to log on. logged: 12/24/2019 4:54:50 PM level: Infomation Computer: Tên máy tính được đăng nhập Trong đó: Event ID: là ID sự kiện Log Name: Tên bản tin log Account Name: Tên user phần bản tin: là bản tin log logged: thời gian xuất hiện sự kiện level: mức độ cảnh báo Computer: Tên máy tính được đăng nhập Chú ý: Có thêm phần Account Name Kết Luận Như vậy trong bài viết này chúng ta đã cùng nhau tìm hiểu và cách thức sử dụng công cụ Event Viewer để tìm nhật ký Remote Desktop đối với những lần Remote thất bại , Remote Sai User hoặc password trong Windows, quan trọng hơn là cách tìm địa chỉ ip đã đăng nhập sai để tiến hành khoanh vùng thực hiện các biện pháp xử lý. Qua bài viết này cloud365 hi vọng có thể giúp được các bạn phần nào đó hiểu hơn về EventID trong Windows, rất mong nhận được đóng góp của các bạn để bài viết được chất lượng hơn tại phần comment bên dưới Chúc các bạn thành công !

Chia Sẽ Kinh Nghiệm Về IT